Организация безопасного шлюза в офисе, выбор оборудования
Есть маленькая, но очень гордая компания. Есть несколько удаленных филиалов в России и Украине. Имеется цель создать безопасный шлюз с доступом в интернет, который со временем обрастет VPN сервером для обмена данными между филиалами. Размер сети в головном офисе — пока что ~15 пк, возможен рост до ~50. В филиалах будет максимум до ~20 рабочих мест, сейчас ~10.
Пока что в головном офисе (да и в остальных тоже) интернетом заведует обычный SOHO роутер, который конечно же не является прекрасным решением. Хочу сделать нормальный шлюз + прокси+openvpn сервер. Потому вопрос, как рассчитать нагрузку для выбора железа?
В плане вариантов решения — либо поставить железку от микротика (рассматриваю вариант RB711GA-5HnD), либо использовать вариант с linux машиной, где поднимается squid+iptables/ipfw+openvpn (опять таки, с точки зрения безопасности — стоит ли это всё делать на одной физической машине?). Опыт работы с линуксом и микротиком есть, с прокси и iptables — тоже есть, но меньше. Пока что нравится вариант с микротиком из -за его компактности и потребления, а также более удобного управления, как по мне.
Подскажите, какие видите плюсы/минусы данных решений, или может своей виденье решения проблемы? а также что выбрать по железу?
Количество филиалов?
ВПН только между филиалами или для подключения из-вне тоже, если да, то какое количество одновременных подключений ~.
Принципиальна ли шифрация трафика?
уточните все пожалуйста. постораюсь ответить подробно, зная ответы на эти вопросы.
Только начал читать Ваш вопрос и сразу в голову пришло — микротик. Так, что однозначно он. Только вот у Вас что все клиенты будут на вафле? У той модели, что Вы выбрали, только один лан. Я бы посмотрел другую модель, например RB751U-2HnD.
751 такой же SOHO, так что если Вы собираетесь поднимать на нем vpn и т.д. и т.п. с множеством клиентов, присмотритесь к нормальной железке от микротик.
Вы сильно заблуждаетесь по поводу 751. конечно 50 клиентов подключатся, но вот когда будет ходить трафик, он взорвется, уверяю Вас.
Если у Вас нет практических данных, не надо вводит людей в заблуждение.
У меня в офисе одном стоит 751 — 4 eoip тунеля, 10 vpn клиентов (одновременно не больше 5-6 работают), ospf, queues, канал 40 Мбит… — ему очень не сладко приходиться, я Вас уверяю, загрузка порой до 80% доходит. А Вы тут говорите о 50 клиентах… нехорошо.
Дома 2011UAS-2HnD, 6 тунелей eoip, ospf, vpn (для себя), 2 канала интернет + 1 свисток 3G — полет нормальный, больше 10% никогда не было на камне.
На моей практике, прекрасно тянет нагрузку 1200, но их уже не выпускают, они на ppc.
Недавно брал 2011UAS рековый без wi-fi, он тоже неплохо тянет один из офисов, практически с такой же нагрузкой как первый, больше 30% не поднимается.
Да, перепутал, 751 модель, Вы правы.
Может я не совсем верно выразился, но схема обмена такая будет — в каждом офисе стоит свой маленький NAS (что то небольшое двух-дисковое от Synology), которые по сути и будут основными клиентами для VPN, они будут выполнять между собой обмен (синхронизацию) данными, думаю раз в сутки. По идее каждый офис и будет клиентом, и у меня еще будет с дома/ноутбука впн канал, т.е не более пяти. Или я ошибаюсь в методе расчета?
Хватит ли для каждого офиса по RB751U-2HnD (ну или гигабитной версии). Или же в головном нужно что-то посерьезнее?
Количество филиалов — три (головной + два дочерних). Впн между филиалами, плюс я изредка буду подключаться из внешнего мира к филиалам. Т.е. если я верно понимаю, то не более двух одновременных впн на дочерний филиал. и не более трех на головной. И на счет интернета — не знаю, есть ли смысл весь интернет трафик филиалов заворачивать через головной офис, как посоветуете? Шифрование трафика хотелось бы, но не принципиально, всё таки это накладные расходы, на траффик, а в одном из офисов провайдер выдает очень грустную скорость (до 256 кб/с в хорошую погоду в полнолуние).
При таком раскладе, вам запросто подойдет 751, и даже 951 в филиалах.
Просто я подумал что у Вас до 50-ти клиентов впн и т.д.
интернет и не надо гонять через головной. А вот подключаться отдельно к филиалам не вижу смысла вообще, достаточно подключаться к головному, а оттуда в любой филиал попадать.
А если учесть что в головном будет расширение, то туда, если есть возможность, сразу брать 2011 модель, c wi-fi или без, это уж Вам виднее. Если надо несколько точек доступа разнесенных, то можно взять без wi-fi, а в качестве точек доступа повесить что-нить дешевое, если с финансированием не очень.
Как я понял, 951 серия более производительная чем 751 серия. Пока что присматриваюсь к модели MikroTik RB951G-2HnD для головного офиса. Возможно она обрастет впоследствии и snmp-сервером. В филиалы поедут 751 модельки. Спасибо за пояснение.
Как я понял — у Вас есть хороший опыт работы с этими железками.
Можете описать какие максимальные возможности в плане производительности доступны RB951G-2HnD и RB751U-2HnD?
951 модель слабее, да и стоит дешевле. Вы что, совсем не читали даже про них, после того что здесь Вам понаписали?
Вам 951 в филиалы надо, я ж писал выше, а в головной 2011 модель
Да, они обновили 951 линейку — вот линк на старую версию — goo.gl/n9y7V (там еще камень 300 MHz), для сравнения 751 — goo.gl/lzGHu
Но имейте ввиду, 951 меньше размером.
ВСе таки еще раз направляю Вас присмотреться к 2011.
Этот Mikrotik RB711GA-5HnD довольно слабый для VPN и он там будет очень грустно крутиться. Для VPN лучше либо специализированное железо, либо что-то помощнее.
Можно, конечно, оставить этот Mikrotik, а VPN сделать в виде отдельного сервера, но я не уверен что Mikrotik потянет такое количество ПК с полной нагрузкой.
Если критично что-то очень маленькое близкое размером с MikroTik, то можно попробовать нечто на Intel Atom или даже VIA C7 (на C7 есть Padlock, который поможет для OpenVPN).
Если свобода на размер немного есть, то я бы поставил что-то на i5 на Mini-ITX.
Если, все-таки, VPN не критичен, а клиенты не качают тяжелые торренты или типа такого, то тогда те Mikrotik'и подойдут.
Берите нормальный сервер и ставьте шлюз на основе PfSence. Просто шикарные вещи на нём можно строить. Весь нужный функционал там есть. Есть возможность настроить VPN IpSec, можно поставить Squid в качестве пакета, настроить балансировку каналов или работу с резевным каналом. В сети информации много. Но решение просто шикарное!
Мой опыт pfsence.
Сейчас есть сетап на PIII :)
Работает офис порядка 100 пользователей.
VPN тунели с филиалами IPSec для удаленный сотрудников openVPN
Для wifi captive портал.
Причем pfsence умеет Ldap или Radius если вам вдруг надо.
До этого сетапа жили на ms isa server.
Зря минусуете человека. У каждого решения есть своя ниша.
Для автора:
Если у вас бюджет позволяет покупать железячные решения, конечно лучше взять маленькую коробочку и не парится.
Из личного опыта могу сказать, что простенькое железо под FreeBSD запросто справляется с 20+ филиалами по шифрованному VPN, squid на 200+ пользователей. При том, что сотрудники филиалов при >= 512 Kbit/s спокойно через netbios по vpn в онлайне правят файлы на файловом сервере в ЦО.
+ решения с сервером — это гибкость. Если понадобится что то большее, пожалуйста, разворачивай. На не дорогих железяках вы всегда будете ограничены его функционалом.
Средний
Простой
